Gateway Load Balancer (GWLB) は、ネットワークレイヤーで機能するロードバランシングサービスです。特定の IP アドレスのすべてのポート宛てのトラフィックをリッスンし、バックエンドサーバーグループ内のネットワーク仮想アプライアンス (NVA) にトラフィックを分散します。これにより、NVA の高可用性が保証されます。GWLB は、ファイアウォール、侵入検知システム、トラフィックミラーリング、ディープパケットインスペクションアプライアンスなど、さまざまな NVA をサポートしています。
GWLB のコンポーネント
コンポーネント | 説明 |
インスタンス | GWLB は、オープンシステム間相互接続 (OSI) モデルの第 3 レイヤー (ネットワークレイヤー) で機能するロードバランサーであり、異なるバックエンドサーバーにトラフィックを透過的に分散することで、アプリケーションシステムのセキュリティと可用性を向上させます。 |
リスナー | GWLB は、特定の IP アドレスのすべてのポート宛てのトラフィックをリッスンし、Geneve プロトコルを介してバックエンドサーバーグループにトラフィックを転送します。1 つの GWLB インスタンスは、1 つのリスナーのみをサポートします。 |
サーバーグループ | Geneve プロトコルをサポートするバックエンドサーバーは、論理グループにまとめることができます。各サーバーグループには、GWLB によって分散されたリクエストを処理する 1 つ以上のバックエンドサーバーが含まれます。 サーバーグループは GWLB インスタンスから独立しています。1 つのサーバーグループを異なる GWLB インスタンスに関連付けることができます。バックエンドサービスとして、Elastic Compute Service (ECS) インスタンス、Elastic Container Instance、Elastic Network Interface (ENI)、および IP アドレス を設定できます。 GWLB はヘルスチェックを実行して、バックエンドサーバーの可用性を判断します。サーバーグループ内の異常なサーバーを検出し、それらへのリクエストの転送を停止します。GWLB は柔軟なヘルスチェック設定をサポートしています。たとえば、ヘルスチェックのプロトコル、ポート、しきい値を指定できます。 |
GWLB の仕組み
GWLB インスタンスは、PrivateLink サービスが提供する GWLB エンドポイント (GWLBe) と連携して動作する必要があります。GWLBe は特定の種類の Virtual Private Cloud (VPC) エンドポイントであり、ビジネス VPC とセキュリティ VPC の間にプライベート接続を確立するために使用できます。プライベート接続を介して、GWLBe はトラフィックをセキュリティ VPC 内の GWLB インスタンスにルーティングして分散させます。
GWLBe はルートテーブルを使用して、インバウンドおよびアウトバウンドトラフィックを制御します。着信トラフィックは GWLBe によって GWLB インスタンスにルーティングされ、バックエンドの NVA によって検査およびフィルター処理され、GWLB インスタンスによって GWLBe にルーティングバックされ、最終的にアプリケーションに転送されます。
GWLB は、すべてのポートですべての IP パケットをリッスンし、IP リスナーに関連付けられたバックエンドサーバーグループにトラフィックを透過的に分散します。GWLB は、5 タプル (送信元 IP アドレス、宛先 IP アドレス、IP プロトコル、送信元ポート、宛先ポート) ハッシュ、3 タプル (送信元 IP アドレス、宛先 IP アドレス、IP プロトコル) ハッシュ、2 タプル (送信元 IP アドレス、宛先 IP アドレス) ハッシュなどのスケジューリングアルゴリズムをサポートしており、同じハッシュ値を持つパケットを同じバックエンド NVA にルーティングします。
NVA プロバイダー
GWLB は、サードパーティの NVA をバックエンドサーバーグループに統合して、着信トラフィックを監視およびフィルター処理することをサポートしています。
利用シーン
GWLB を使用したインターネットファイアウォールのデプロイ
今日、企業は複雑なネットワーク攻撃に直面しています。ネットワーク攻撃から防御するためには、高可用性のファイアウォールクラスターをデプロイすることが不可欠です。GWLB を使用すると、企業はトラフィックを一元管理し、インバウンドとアウトバウンドの両方のトラフィックをファイアウォールクラスターに誘導して、詳細な検査とフィルター処理を行うことができます。さらに、GWLB は複数のゾーンにわたるファイアウォールクラスターの可用性を確保し、単一障害点を排除します。
GWLB を使用した NAT ファイアウォールのデプロイ
Network Access Translation (NAT) ゲートウェイは、通常、クラウドリソースがインターネットにアクセスするための出口となります。複雑なネットワークセキュリティの課題に対処するために、企業は GWLB を使用して、NAT ゲートウェイを通過するすべてのトラフィックを統合管理レイヤーに転送できます。これにより、インターネットに出入りするすべてのリクエストがファイアウォールによって監視およびフィルター処理され、トラフィックの全体的な制御が実現されます。
GWLB を使用した VPC ファイアウォールのデプロイ
リージョン内の複数の VPC にまたがるクラウドリソースが相互に接続する必要があるシナリオでは、トランジットルーターを使用してトラフィックを GWLB に誘導できます。GWLB は、フィルター処理のためにトラフィックをバックエンドのセキュリティアプライアンスに分散する役割を担います。フィルター処理されたトラフィックのみが通信できるようにすることで、ネットワークセキュリティが大幅に強化されます。
GWLB インスタンスの作成
GWLB インスタンスを作成するには、購入ページに移動します。
GWLB インスタンスのデプロイと管理
Alibaba Cloud アカウントを作成した後、次の方法で GWLB インスタンスをデプロイおよび管理できます。
GWLB コンソール:GWLB サービスを管理するために使用できる Web インターフェイスです。コンソールで GWLB インスタンスを作成、使用、またはリリースできます。詳細については、「GWLB インスタンスの作成と管理」をご参照ください。
Alibaba Cloud SDK:Java、Go、Python、およびその他のプログラミング言語用の SDK です。
OpenAPI Portal:API 操作を取得して呼び出し、SDK サンプルコードを動的に生成できます。